Chapitre 3. Les ressources du rôle de ROSA IAM


Il faut créer plusieurs ressources de rôles sur votre compte AWS afin de créer et de gérer un cluster Red Hat OpenShift Service sur AWS (ROSA).

3.1. Aperçu des rôles requis

Afin de créer et de gérer votre service Red Hat OpenShift sur le cluster AWS, vous devez créer plusieurs rôles à l’échelle du compte et à l’échelle du cluster. Lorsque vous avez l’intention d’utiliser OpenShift Cluster Manager pour créer ou gérer votre cluster, vous avez besoin de rôles supplémentaires.

Créer et gérer des clusters

Il faut plusieurs rôles à l’échelle du compte pour créer et gérer des clusters ROSA. Ces rôles ne doivent être créés qu’une fois par compte AWS et n’ont pas besoin d’être créés frais pour chaque cluster. Il est possible de spécifier votre propre préfixe ou d’utiliser le préfixe par défaut (ManagedOpenShift).

Les rôles suivants à l’échelle du compte sont requis:

  • <prefix>-Role du travailleur
  • <préfixe>-Soutien-Role
  • <prefix>-Installer-Role
  • <prefix>-ControlPlane-Role
Note

La création de rôles ne demande pas votre accès AWS ou vos clés secrètes. AWS Security Token Service (STS) est utilisé comme base de ce flux de travail. AWS STS utilise des informations d’identification temporaires et à privilèges limités pour fournir l’authentification.

Gérer les fonctionnalités de cluster fournies par les opérateurs

Les rôles d’opérateur spécifiques au cluster (rôles d’opérateur dans l’ILC ROSA), obtenir les autorisations temporaires requises pour effectuer des opérations de cluster pour les fonctionnalités fournies par les opérateurs, telles que la gestion du stockage back-end, l’entrée et le registre. Cela nécessite la configuration d’un fournisseur OpenID Connect (OIDC), qui se connecte à AWS Security Token Service (STS) pour authentifier l’accès de l’opérateur aux ressources AWS.

Les rôles d’opérateur sont requis pour chaque cluster, car plusieurs opérateurs sont utilisés pour fournir des fonctionnalités de cluster par défaut.

Les rôles d’opérateur suivants sont requis:

  • <cluster_name>-<hash>-openshift-cluster-csi-drivers-ebs-cloud-credentials
  • <cluster_name>-<hash>-openshift-cloud-network-config-controller-credentials
  • <cluster_name>-<hash>-openshift-machine-api-aws-cloud-credentials
  • <cluster_name>-<hash>-openshift-cloud-credential-operator-cloud-credentials
  • <cluster_name>-<hash>-openshift-image-registry-installer-cloud-credentials
  • <cluster_name>-<hash>-openshift-ingress-operator-cloud-credentials
À utiliser OpenShift Cluster Manager

L’interface utilisateur Web, OpenShift Cluster Manager, vous oblige à créer des rôles supplémentaires dans votre compte AWS pour créer une relation de confiance entre ce compte AWS et le gestionnaire de cluster OpenShift.

Cette relation de confiance est obtenue grâce à la création et à l’association du rôle d’Ocm-role AWS IAM. Ce rôle a une politique de confiance avec l’installateur AWS qui relie votre compte Red Hat à votre compte AWS. En outre, vous avez également besoin d’un rôle AWS IAM d’utilisateur pour chaque utilisateur d’interface utilisateur Web, qui sert à identifier ces utilisateurs. Ce rôle AWS IAM de rôle utilisateur n’a pas d’autorisations.

Les rôles AWS IAM suivants sont nécessaires pour utiliser OpenShift Cluster Manager:

  • le rôle de l’OCM
  • le rôle de l’utilisateur
Retour au début
Red Hat logoGithubredditYoutubeTwitter

Apprendre

Essayez, achetez et vendez

Communautés

À propos de la documentation Red Hat

Nous aidons les utilisateurs de Red Hat à innover et à atteindre leurs objectifs grâce à nos produits et services avec un contenu auquel ils peuvent faire confiance. Découvrez nos récentes mises à jour.

Rendre l’open source plus inclusif

Red Hat s'engage à remplacer le langage problématique dans notre code, notre documentation et nos propriétés Web. Pour plus de détails, consultez le Blog Red Hat.

À propos de Red Hat

Nous proposons des solutions renforcées qui facilitent le travail des entreprises sur plusieurs plates-formes et environnements, du centre de données central à la périphérie du réseau.

Theme

© 2025 Red Hat